(12) NACH DEM VERTRAG OBER DIE INTERNATIONALE ZUSAMMENARBEIT AUT DEM GEBEET DES 
PATENTWESENS (PCT) VEROfFENTLICHTE INTERNATIONALE ANMELDUNG 



(19) WeltorganisatioD fur geistiges Eigentum 
Internationales Biiro 




I1II0IIIIIIIIIIIIIIIIIIIIIIIII1I1IIIIIIIIIIIIIIIII 



(43) Internationales VerSffentlichungsdatum (10) Internationale Ver6ffentlichungsnummer 

28. November 2002 (28,11.2002) PCT WO 02/095637 A2 



(51) Internationale Patentklassifikation 7 : G06F 17/60 

(21) Internationales Aktenzeichen: PCT/DE02/01646 

(22) Internationales Anmeldedatum: 

7. Mai 2002 (07.05.2002) 



(72) Erfinder; und 

(75) Erfinder/Anmelder (nur fir US): HAGN, Christine 
[DE/DE]; Rosen weg 4, 85375 Neufahm (DE). MARK- 
WITZ, Wernhard [DE/DE]; Reichenbachstr. 25, 80469 
Munchen (DE). KAIJSER, Per [SE/DE]; Moarstr. 18, 
85737 Ismaning (DE). 



(25) Einreichungssprache: Deutsch 

(26) Verdffentlichungssprache: Deutsch 

(30) Angaben zur Prioritat: 

101 25 017.7 22. Mai 2001 (22.05.2001) DE 

(71) Anmelder (fir alle Bestimmungsstaaten mitAusnahme yon 
US): SIEMENS AKTIENGESELLSCHAFT [DE/DE]; 
Wittelsbacheiplatz 2, 80333 Munchen (DE). 



(74) Gemeinsamer Vertreter: SIEMENS AKTIENGE- 
SELLSCHAFT; Postfach 22 16 34, 80506 Munchen 
(DE). 

(81) Bestimmungsstaat (national): US. 

(84) Bestimmungsstaaten (regional): europaisches Patent (AT, 
BE, CH, CY, DE, DK, ES, FI, FR, GB, GR, IE, IT, LU, MC, 
NL, PT, SE, TR). 



[Fortsetzung auf der ndchsten SeiteJ 



= (54) Title: METHOD FOR PROVIDING SERVICES IN A DATA TRANSMISSION NETWORK AND ASSOCIATED COMPO- 
= NENTS 

= (54) Bezeichnung: VERFAHREN ZUM ERBRINGEN VON DIENSTEN IN EINEM DATENOBERTRAGUNGSNETZ UND ZU- 
= GEHORIGE KOMPONENTEN 




DNRA 
NutzerA 



m 
v© 

IT) 

ON 



32.. CENTRAL COMPUTER 

28-. PUBLIC KEY I M FRAST RUCTQ RE IPKI) CEKTER 

30_ OUTPUT SMART CARD (SC) 

14- INTERNET 

NUTZER A - USER A 

3B- TEST UMIT P 

40. DATABASE 

36- ACCESS 



fSj (57) Abstract: The invention relates to, among other things, a method according to which an access function (36) for a number of 
<0 service user computers (18) permits a connection between the service user computer ( 1 8) and a service provider computer (22 to 26), 

O which is selected by a service user (A), according to requests submitted by a service user computer (18). The insertion of an access 
function (36), and the use of a test unit (38) make it possible to secure useful data that is to be processed in a reliant manner. 
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(57) Zusammenfassung: ErlMutert wird unter anderem ein Verfahren, bei dem eine Zugangsfunktion (36) ftir mehrere Dienstnut- 
zungsrechner (18) abhangig von Anforderungen von der Seite eines Dienstnutzungsrechners (18) eine Verbindung zwischen dem 
Dienstnutzungsrechner (18) und einem durch einen Dienstnutzer (A) ausgewahlten Diensterbringungsrechner (22 bis 26) ermdg- 
licht Das Zwischenschalten einer Zugangsfunktion (36) und das Verwenden einer Priifeinheit (38) ermoglicht die Sicherung von 
vertrauensvoll zu behandelnden Nutzdaten. 
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Beschreibung 

Verfahren zum Erbringen von Diensten in einem Datenubertra- 
gungsnetz und zugehorige Komponenten 

5 

Die Erfindung betrifft ein Verfahren, bei dem eine Zugangs- 
funktion fur mehrere Dienstnutzungsrechner eine Verbindung 
zwischen dem Dienstnutzungsrechner und einem Diensterbrin- 
gungsrechner ermoglicht. 

10 

So lasst sich mit Hilfe der Zugangsf unktion die Internetseite 
eines Unternehmens a.ufrufen, das seine Dienstleistungen iiber 
das Internet verkauft. Die Zugangsf unktion priift unter ande- 
rem die Identitat des Dienstnutzers, beispielsweise durch 
15 Abfrage eines Passwortes. 

Bisher war es tiblich, dass jtedes Unternehmen seine eigene 
Zugangsf unktion hatte und dass die Kundendaten von jedem 
Unternehmen einzeln und damit unter Umstanden mehrfach ge- 

20 speichert worden sind. Die Sicherheit der Kundendaten ist bei 
einer solchen verteilten Speicherung der Kundendaten nur 
eingeschrankt gewahrleistet . Aufgrund dieser Einschrankungen 
der Sicherheit entwickelte sich ein Handel mit Kundendaten. 
Durch einen solchen Handel sinkt die Akzeptanz der 

25 Diensterbringungsverfahren liber das Internet erheblich, ins- 
besondere wenn Kundendaten gehandelt werden, die im Zusammen- 
hang mit der Kaufkraft, dem Kreditrahmen oder anderen finan- 
ziellen Daten der Kunden stehen. 

30 Es ist Aufgabe der Erfindung, zum Erbringen von Diensten in 
einem Datenubertragungsnetz ein einfaches Verfahren an- 
zugeben, das es insbesondere gestattet, Kundendaten vor Miss- 
brauch besser zu schiitzen als bisher. AuIJerdem sollen ein 
zugehoriges Programm und eine zugehorige Datenverarbeitungs- 

35 anlage angegeben werden. 
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Die auf das Verfahren bezogene Aufgabe wird durch die im 
Patentanspruch 1 angegebenen Verf ahrensschritte gelost. Wei- 
terbildungen sind in den Unteranspruchen angegeben. 

5 Die Erfindung geht von der Oberlegung aus, dass zum Sichern 
der Kundendaten ein erheblicher Auf wand erforderlich ist, der 
die Akzeptanz der Erbringung von Diensten uber das Internet 
auf der Seite der Dienstanbieter senken wurde. Urn dem aber 
entgegenzuwirken, wird beim erf indungsgemalien Verfahren eine 

10 Zugangsfunktion verwendet, die eine Verbindung zwischen einem 
Dienstnutzungsrechner und einem von mehreren durch einen 
Dienstnutzer auswahlbaren Diensterbringungsrechner ermog- 
licht. Auiierdem wird eine zentrale Datenbank eingerichtet , in 
der fiir die verschiedenen Dienstnutzer zu sichernde Nutzerda- 

15 ten gespeichert werden, die zur Erbringung der Dienste ver- 
schiedener Diensterbringungsrechner erforderlich sind. Durch 
diese Zentralisierung der Zugangsfunktion und der Datenbank 
lasst sich der Aufwand fur die Sicherung der Kundendaten auf 
eine Vielzahl verschiedener Diensterbringer verteilen. Die 

20 Akzeptanz auf der Seite der Diensterbringer steigt also. 

Durch das Verwenden der zentralen Datenbank kann auch den 
Dienstnutzern zugesichert werden, dass ihre Daten vor Miss- 
brauch geschutzt sind. Somit erhoht sich die Akzeptanz von 
25 Verfahren zur Diensterbringung uber ein Datenubertragungsnetz 
auch auf der Seite der Dienstnutzer. 

Das erf indungsgemafie Verfahren geht auiierdem von der Oberle- 
gung aus, dass die zu sichernden Kundendaten zwar im Rahmen 

30 der Diensterbringung erforderlich sind, jedoch nicht unbe- 
dingt dem Diensterbringer ubergeben werden miissen. Deshalb 
wird beim erf indungsgemSJien Verfahren nach der Verbindungs- 
aufnahme zwischen einem Dienstnutzungsrechner und einem aus- 
gewahlten Diensterbringungsrechner im Rahmen der 

35 Diensterbringung fur den den Dienstnutzungsrechner nutzenden 
Dienstnutzer an eine zentrale Prufeinheit eine Anforderung 
gestellt. Diese Anforderung betrifft beispielsweise die Zusi- 
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cherung der Zahlungsf ahigkeit des Dienstnutzers . Die Anforde- 
rung kann nur unter Zugriff auf zu sichernde Nutzerdaten des 
Dienstnutzers bearbeitet werden. So sind beispielsweise De- 
ckungszusagen einer Bank fur spatere Nachweiszwecke zu spei- 
5 chern. Andererseits wird aber auch eine friihere Deckungszusa- 
ge gelesen, falls sie noch gultig ist. Eine Prufeinheit, die 
unabhangig von den Diensterbringungsrechnern arbeitet, bear- 
beitet die Anforderung unter Zugriff auf zu sichernden Nut- 
zerdaten des Dienstnutzers. Nur das Bearbeitungsergebnis 

10 nicht aber ein zu sicherndes Nutzerdatum selbst wird von der 
Prufeinheit an den die Anforderung stellenden Diensterbrin- 
gungsrechner ubermittelt. Der betreffende Diensterbringungs- 
rechner erbringt dann seinen Dienst abhangig vom Bearbei- 
tungsergebnis. Durch diese MaBnahme wird also erreicht, dass 

15 die zu sichernden Kundendaten selbst nicht an einen 

Diensterbringungsrechner ubermittelt werden miissen. Nur die 
Prufeinheit hat Zugriff auf die zu sichernden Daten. Damit 
ist ein Handel mit den zu sichernden Kundendaten erschwert 
und einem Missbrauch wird wirksam vorgebeugt . 

20 

Bei einer Weiterbildung des erf indungsgemalien Verfahrens 
gehoren die Diensterbringungsrechner verschiedenen Betrei- 
bern. Nach der Anwahl eines Diensterbringungsrechners wird 
dessen Berechtigung zum Stellen von Anf orderungen mit Hilfe 

25 eines Berechtigungsprufverf ahrens gepruft. Das Bearbeitungs- 
ergebnis wird nur bei bestehender Berechtigung von der Pruf- 
einheit an den Diensterbringungsrechner ubermittelt. Bei 
fehlender Berechtigung wird kein Bearbeitungsergebnis Uber- 
mittelt. Bei fehlender Berechtigung muss die Anforderung 

30 nicht bearbeitet werden. Durch das Priifen der Berechtigung 

zur Seite der Diensterbringungsrechner hin lasst sich gewahr- 
leisten, dass keine Anf orderungen durch Unberechtigte ge- 
stellt werden, welche die Bearbeitungsergebnisse dann miss- 
brauchlich verwenden konnten. 

35 

Bei einer anderen Weiterbildung des erf indungsgemalien Verfah- 
rens werden die zu sichernden Nutzerdaten verschlusselt ge- 
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speichert. Die Diensterbringungsrechner haben keinen Zugang 
zu einem zum Entschliisseln erf orderlichen digitalen Schlus- 
sel. Das Verschliisselungsverf ahren bzw. ein zu verwendender 
Schlussel lasst sich mit Hilfe konstruktiver und/oder elek- 
5 tronischer SicherungsmaJJnahmen geheimhalten. Selbst wenn die 
zu sichernden Kundendaten durch Unbefugte kopiert werden, 
sind diese nicht im Besitz des zum Entschliisseln erforderli- 
chen Schlussels. Damit bleiben die zu sichernden Daten trotz 
des unberechtigten Kopierens vor Missbrauch geschutzt. 

10 

Bei einem zweiten Aspekt der Erfindung, der auch als eine 
nachsten Weiterbildung des erf indungsgemafien Verfahrens nach 
dem zuvor erlauterten Aspekt der Erfindung auftritt, sind in 
einer Datenbank Dienst-Nutzerdaten gespeichert, die dienstbe- 

15 zogene Daten fur die Dienstnutzer einzelner Diensterbrin- 
gungsrechner enthalten. Nach der Anwahl eines Diensterbrin- 
gungsrechners wird dessen Berechtigung zum Empfangen von 
Dienst-Nutzerdaten betreffend den durch ihn erbrachten Dienst 
gepruft. An den ausgewahlten Diensterbringungsrechner werden 

20 die angeforderten Dienst-Nutzerdaten nur bei bestehender 
Berechtigung ubermittelt. Obermittelt werden immer nur die 
dienstbezogenen Daten desjenigen Dienstnutzers, der den aus- 
gewahlten Diensterbringungsrechner ausgewahlt hat. Der 
Diensterbringungsrechner erbringt dann seinen Dienst unter 

25 Verwendung der ubermittelten Dienst-Nutzerdaten. Durch die 

Prufung der Berechtigung zum Empfangen von Dienst-Nutzerdaten 
lasst sich gewahrleisten, dass die Dienst-Nutzerdaten einzel- 
ner Diensterbringer nicht missbrauchlich an Dritte ubermit- 
telt werden. 

30 

Bei einer Ausgestaltung ist die Datenbank zum Speichern der 
Dienst-Nutzerdaten Bestandteil der zentralen Datenbank. Bei 
einer anderen Ausgestaltung wird zum Prufen der Berechtigung 
fur das Stellen von Anf orderungen und zum Prufen der Berech- 
35 tigung fur das Empfangen von dienstbezogenen Dienst-Nutzer- 
daten dasselbe Prufverf ahren ausgefuhrt. Somit ist jeweils . 
nur ein Berechtigungspruf verf ahren auszufuhren. 
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Bei einer Weiterbildung des Verfahrens mit einer Datenbank 
fur Dienst-Nutzerdaten sind die Dienst-Nutzerdaten verschliis- 
selt gespeichert und werden auch verschlusselt ubertragen. 
5 Verschiedene Diensterbringungsrechner verwenden verschiedene 
digitale Schliissel zum Entschliisseln der Dienst-Nutzerdaten. 
Durch diese Mafinahme wird gewahrleistet, dass die Dienst- 
Nutzerdaten nur durch den berechtigten Diensterbringer ent- 
schllisselt werden konnen. Andere Diensterbringungsrechner und 
10 auch der Betreiber der Datenbanken sind nicht in der Lage, 
die Dienst-Nutzerdaten zu entschliisseln. Damit lassen sich 
die Dienst-Nutzerdaten wirksam vor Missbrauch schlitzen. Die 
Speicherung der Dienst-Nutzerdaten aulierhalb des den Dienst 
erbringenden Unternehmens wird so leichter akzeptiert. 

15 

Bei einer weiteren Ausgestaltung des Verfahrens mit Verwen- 
dung von Dienst-Nutzerdaten sind die Dienst-Nutzerdaten zu- 
satzlich oder alternativ mit einem zentralen Verschliisse- 
lungsverf ahren verschlusselt. Zum Entschliisseln der mit dem 

20 zentralen Verschlusselungsverf ahren verschlusselten Nutzdaten 
wird ein digitaler Schliissel verwendet, zu dem die 
Diensterbringungsrechner keinen Zugang haben. Durch diese 
Malinahme lassen sich sowohl von den Diensterbringungsrechnern 
kommende unverschlusselte Daten als auch verschliisselte Daten 

25 nach dem gleichen zentralen Verf ahren sicher speichern. Eine 
doppelte Verschlusselung bietet aufierdem eine zusatzliche 
Sicherheit gegen den Missbrauch der dienstbezogenen Daten. 

Bei einer anderen Weiterbildung des erf indungsgemalien Verfah- 
30 rens werden in einer von mehreren Diensterbringungsrechnern 
genutzten Datenbank digitale Daten iiber Zahlungsvorgange fur 
verschiedene Diensterbringungsrechner gespeichert. Diese 
Datenbank ist beispielsweise Bestandteil der zentralen Daten- 
bank. Es lassen sich die oben genannten Verschliisselungsver- 
35 fahren auch zum Sichern der Daten iiber die Zahlungsvorgange 
einsetzen. Au/lerdem wird eine Berechtigungspriif ung vor der 
Obermittlung der Daten uber die Zahlungsvorgange ausgefuhrt. 
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Bei einer weiteren Weiterbildung des erf indungsgemaBen Ver- 
fahrens wird die Berechtigung des Dienstnutzers unter Verwen- 
dung eines Berechtigungspruf verfahrens gepruft. Die Auswahl 
5 wird nur beim Vorliegen einer Berechtigung zugelassen. Durch 
diese Berechtigungspruf ung lasst sich ein Missbrauch von der 
Seite der Dienstnutzer her verhindern. 

Bei einer nachsten Weiterbildung wird die Berechtigungspru- 

10 fung bzw. werden die Berechtigungspruf ungen unter Verwendung 
von digitalen Schlusseln durchgef uhrt , die von mindestens 
einer Zertif izierungsstelle erzeugt worden sind. Die Zertifi- 
zierungsstelle selbst ist Teil einer Zertif izierungskette. 
Das Verwenden von digitalen Schlusseln bietet gegenuber dem 

15 Nutzen von Passwortern eine erhohte und beim zusatzlichen 
Verwenden von Passwortern eine zusatzliche Sicherheit. Eine 
Zertif izierungs-Inf rastruktur lasst sich beispielsweise gemali 
Standard X.509 der ITU-T (International Telecommunication 
Union - Telecommunication Sector) aufbauen. Eingesetzt werden 

20 aber auch andere Inf rastrukturen, z.B. eine Inf rastruktur 

gemafi den Vorgaben der IETF (Internet Engineering Task Force) 
im Request for Comment 2459, Januar 1999. Das Aufbauen sol- 
cher Inf rastrukturen und das Einbeziehen in das erf indungsge- 
malJe Verfahren gewahrleistet alien beteiligten Seiten eine 

25 hohe Sicherheit. Beispielsweise lassen sich ungultige Schlus- 
sel auf einfache Art und Weise sperren. 

Bei einer anderen Weiterbildung wird ein geheimzuhal tender 
digitaler Schlussel fur das Verschlusseln eingesetzt. Der 

30 geheimzuhaltende Schlussel wird in einer elektronisch gesi- 
cherten Speichereinheit gespeichert. Bei einer Ausgestaltung 
ist die gesicherte Speichereinheit Bestandteil einer soge- 
nannten Chipkarte, die einen eingegossenen Prozessor und die 
gesicherte Speichereinheit enthalt. Die gesicherte Spei- 

35 chereinheit lasst sich ausschlieftlich durch diesen Prozessor 
lesen und schreiben. Vor dem Zugriff wird bei einer Ausges- 
taltung eine Berechtigungspruf ung ausgefiihrt, die beispiels- 
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weise die Abfrage eines Passwortes oder einer Geheimnummer 
enthalt. Vorzugsweise wird ein asymmetrisch.es Verschliisse- 
lungsverf ahren eingesetzt. 

5 Bei einer anderen Weiterbildung des erf indungsgemaJien Verfah- 
rens betrifft die Anforderung die Absicherung einer Zahlung. 
Die Absicherung der Zahlung ist das Kernstuck der 
Diensterbringung uber ein Datenubertragungsnetz und fur die 
Akzeptanz dieser Verf ahren daher besonders wichtig. So werden 

10 Anforderungen gestellt, mit denen durch einen Dritten die 
Haftung ftir den Fall ubernommen wird, dass der Dienstnutzer 
den genutzten Dienst nicht zahlt . Diese Zusicherungen sind 
bei einer Ausgestaltung zeitlich begrenzt, beispielsweise auf 
einen Tag oder auf die Zeitdauer einer Verbindung zwischen 

15 Dienstnutzer und Diensterbringungsrechner . 

Bei einer anderen Weiterbildung des erf indungsgema/ien Verfah- 
rens stellt die Prufeinheit zur Bearbeitung der Anforderung 
eine Anfrage zum Erhalt eines Zahlungszertif ikats an einen 

20 Zertif izierungsrechner . Der Zertif izierungsrechner erzeugt 
ein digitales Zahlungszertif ikat, das die Zahlung absichert. 
Das Zahlungszertif ikat wird dann uber die Prufeinheit zum 
Diensterbringungsrechner weitergeleitet . Auch zum Erzeugen 
des digitalen Zahlungszertif ikates werdqn bei einer Ausges- 

25 taltung Verschlusselungs- und/oder Unterschrif tsverf ahren 
unter Verwendung von digitalen Schlusseln eingesetzt. Auch 
der Zertif izierungsrechner ist bei einer Ausgestaltung Teil 
einer Zertif izierungsinf rastruktur . Die vom Zertif izierungs- 
rechner ausgestellten Zertifikate haben eine kiirzere Giiltig- 

30 keitsdauer als die Zertifikate fur die digitalen Schliissel. 
Durch die kurze Gultigkeitsdauer lasst sich ein Missbrauch 
der Zahlungszertif ikate bzw. Zahlungsat tribute besser verhin- 
dern. Ein Zertif izierungsrechner ist bei einer Ausgestaltung 
ein sogenannter TrustedA-Rechner (Trusted Authorizer) , wie er 

35 von der irischen Firma SSE verkauft wird, siehe www.sse.ie. 
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Bei einer alternativen Weiterbildung erzeugt die Prufeinheit 
bei der Bearbeitung der Anforderung selbst ein Zahlungszerti- 
fikat, das die Zahlung absichert. In diesem Fall ist die 
Prufeinheit beispielsweise im Besitz eines Bankinstitutes 
5 bzw. eines Kreditinstitutes . Das durch die Priifeinheit er- 

zeugte Zahlungszertif ikat wird auch an den Diensterbringungs- 
rechner weitergeleitet . Der Diensterbringungsrechner priift 
dann beispielsweise das Zahlungszertif ikat und veranlasst die 
Diensterbringung, falls das Zahlungszertif ikat gultig ist und 
10 die Anforderung bestatigt. 

Bei einer nachsten Weiterbildung erbringen die Diensterbrin- 
gungsrechner die Funktionen elektronischer Kaufplattformen 
und/oder elektronischer Dienstleistungsplattf ormen, z.B,: 
15 - Abruf von Musikdaten, Videodaten oder Programmdaten, 

- e-Business, Bankgeschaf te, Handelgeschaf te, 

- Inf ormationsdienste , 

- sichere digitale Sprachubertragung. 

20 Damit bietet die Zugangsf unktion dem Dienstnutzer Zugang 

beispielsweise zu einer virtuellen Einkauf smeile . Das erfin- 
dungsgemalie Verfahren wird jedoch auch fur andere Dienste 
eingesetzt, bei denen zu sichernde Daten der Dienstnutzer in 
die Diensterbringung einbezogen werden, beispielsweise Kre- 

25 ditgeschaf te. 

Die Erfindung betrifft aufSerdem ein Programm mit einer Be- 
fehlsfolge, bei deren Ausfuhrung durch einen Prozessor das 
erf indungsgemalie Verfahren oder eine seiner Weiterbildung 
30 ausgefuhrt wird. Aufierdem ist eine Datenverarbeitungsanlage 
geschutzt, die ein solches Programm enthalt. Fur das Programm 
und die Datenverarbeitungsanlage gelten somit die oben ge- 
nannten technischen Wirkungen. 

35 Zum Verschlusseln lessen sich asymmetrische Verschliisselungs- 
verfahren einsetzen, z.B. das RSA-Verf ahren (Revist, Shamir, 
Adleman) . Aber auch symmetrische Verfahren werden eingesetzt, 
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9 

z.B. der dreifache DES- Algorithmic (Data Encryption Stan- 
dard) . Ein anderes gebrauchliches Verschliisselungsverf ahren 
ist beispielsweise das ECC-Verf ahren (Elliptic Curve Cryp- 
tographie) . 

Im Folgenden werden Ausf iihrungsbeispiele der Erfindung an 
Hand der beiliegenden Zeichnungen erlautert. Darin zeigen: 

Figur 1 ein Dateniibertragungsnet z und einen Zentralrechner, 

Figur 2 Verf ahrensschritte zur Erbringung des Dienstes 
"Buchkauf », 

Figur 3 die Bearbeitung einer Zahlungsf ahigkeitsanf rage, 
15 und 

Figur 4 die Bearbeitung einer Attributanf rage . 

Figur 1 zeigt ein Dateniibertragungsnet z 10, das einen Zent- 
20 ralrechner 12 enthalt. Bestandteil des Dateniibertragungsnet - 

zes 10 sind auch das Internet 14 sowie ein Mobilf unknetz 16. 

Im Internet 14 werden digitale Daten gemaft Protokoll TCP/IP 

(Transmission Control Protocol/Internet Protocol) iibertragen. 

Im Mobilfunknetz 16 werden digitale Daten beispielsweise 
25 gemafi GSM-Standard (Global System for Mobile Communication) 

Oder gemali UMTS-Standard (Universal Mobile Telecommunication 

System) iibertragen. 

Ober das Internet 14 oder das Mobilfunknetz 16 konnen eine 
30 Vielzahl von Dienstnutzern, beispielsweise mehrere Tausend, 
Verbindungen zwischen den von ihnen genutzten Endgeraten und 
dem Zentralrechner 12 aufbauen. In Figur 1 ist das Endgerat 
18 eines Dienstnutzers A dargestellt. Das Endgerat 18 ist 
beispielsweise ein tragbarer Rechner oder ein Mobilf unkgerat 
35 und enthalt eine Smartkarte 20. 
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Ober das Internet 14 und das Mobilf unknetz 16 lassen sich 
aufterdem Verbindungen zwischen einer Vielzahl von 
Diensterbringungsrechnern und dem Zentralrechner 12 aufbauen. 
Beispielsweise sind mehrere hundert Diensterbringungsrechner 
5 beim Zentralrechner 12 registriert . In Figur 1 sind zwei 
Diensterbringungsrechner 22 und 24 dargestellt, die 
Diensterbringern B und Z gehoren. Weitere Diensterbringungs- 
rechner 26 sind durch Punkte angedeutet. In den Diensterbrin- 
gungsrechnern 22 und 24 sind jeweils voneinander verschiedene 
10 digitale Zertifikate ZB bzw. ZZ gespeichert . 

Die Smartkarte 20, das Zertifikat ZB und das Zertifikat ZZ 
sind von einem PKI-Zentrum 28 (public key infrastructure) 
ausgegeben worden, nachdem die Identitat des Dienstnutzers A, 
15 des Diensterbringers B bzw. des Diensterbringers Z durch eine 
lokale Ausgabestelle gepriift worden sind. Die lokale Ausgabe- 
stelle wird auch als LRA-Stelle (Local Registration Authori- 
ty) bezeichnet. Die Ausgabe der Smartkarte 2 0 bzw. des Zerti- 
fikates ZB wird durch einen Pfeil 30 bzw. 32 verdeutlicht . 

20 

Wird die Smartkarte 20 oder ein Zertifikat ZB , ZZ gesperrt, 
so benachrichtigt das PKI-Zentrum 28 den Zentralrechner 12 , 
siehe Pfeil 34. Der Zentralrechner 12 schlieftt dann die un- 
gultige Smartkarte 20 bzw. die ungultigen Zertifikate ZB, ZZ 
25 bei Berechtigungspruf ungen von weiteren Transaktionen aus. 

Der Zentralrechner 12 ist ein sehr leistungsstarker Rechner 
und enthalt eine Zugangseinheit 36, eine Priifeinheit 38 und 
eine Datenbank *40. Die Zugangseinheit 36 stellt eine Zugangs- 

30 moglichkeit fur die Dienstnut zungsrechner 18 dar und ist mit 
dem Internet 14 und dem Mobilf unknetz 16 verbunden. Aufierdem 
lassen sich iiber die Zugangseinheit 36 die Verbindungen zwi- 
schen dem Zentralrechner 12 und den Diensterbringungsrechnern 
22 bis 26 aufbauen, siehe Verbindungen 42 und 44. Die Zu- 

35 gangseinheit 36 fuhrt auch Berechtigungspruf ungen durch, die 
unten an Hand der Figur 2 naher erlautert werden. 
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Die Prufeinheit 38 pruft, ob fur einen Dienstnutzer die Ge- 
wahr ubernommen werden kann, dass er zahlungsf ahig ist. Dazu 
wird ein sogenanntes Zahlungsattribut erzeugt . Die dabei 
ausgefuhrten Verf ahrensschritte werden unten an Hand der 
5 Figuren 3 und 4 naher erlautert. 

Die Zugangseinheit 36 und die Prufeinheit 38 haben Zugriff 
auf die Datenbank 40. In der Datenbank 40 sind Dienstnutzer- 
profile 46 und Dienst-Nutzerdaten 48 gespeichert. Die Daten- 

10 bank 40 wird mit einem kommerziell verfugbaren Verzeichnis- 

verwaltungsprogramm verwaltet, z.B. mit dem Programm DIRX der 
Firma SIEMENS AG. Die Dienstnutzerprof ile 46 enthalten Daten 
liber die Gewohnheiten der Dienstnutzer bei der Auswahl der 
Diensterbringungsrechner 22 bis 24. Aufterdem enthalten die 

15 Dienstnutzerprof ile 46 beispielsweise Angaben liber einen 
Kreditrahmen, bis zu dem der Betreiber des Zentralrechners 
die GewShr fur die Zahlungsf ahigkeit der Dienstnutzer uber- 
nimmt. Die Dienst-Nutzerdaten 48 gehbren, abhangig vom be- 
troffenen Dienst, dem Erbringer dieses Dienstes. Beispiels- 

20 weise enthalten Dienst-Nutzerdaten 48 fur den Dienst "Buch- 
verkauf", der durch den Diensterbringungsrechner 22 erbracht 
wird, die folgenden Angaben: 

die bereits durch einen Dienstnutzer bestellten Blicher, 
ein Kennzeichen fur den Dienstnutzer, und 

25 - Angaben liber vom Dienstnutzer noch nicht beglichene Rech- 
nungen im Zusammenhang mit den Buchkaufen. 

Die Dienstnutzerprof ile 46 sind mit einem sogenannten offent- 
lichen Schllissel Sl-E (Encryption) verschlusselt . Beim Lesen 

30 der Dienstnutzerprof ile 46 aus der Datenbank 40 werden die 
Daten mit Hilfe eines geheimgehaltenen privaten Schliissels 
Sl-D (Decryption) entschlusselt . Die beiden Schllissel Sl-E 
und Sl-D sind Partnerschlussel eines asymmetrischen Ver- 
schllisselungsverf ahrens . Der private Schlussel Sl-D lasst 

35 sich durch konstruktive und/oder elektronische Malinahmen im 
Zentralrechner 12 geheimhalten . 
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Die Dienst-Nutzerdaten 48 werden in den Diensterbringungs- 
rechnern 22 bis 26 mit voneinander verschiedenen offentlichen 
Schlusseln der einzelnen Diensterbringer verschlusselt, siehe 
beispielsweise die offentlichen Schlussel S2-E bzw. S3-E im 
5 Diensterbringungsrechner 22 bzw. 24. Anschlieftend werden die 
verschlusselten Dienst-Dienstnutzerdaten uber die Verbindung 
42 bzw. 44 ubertragen und in der Datenbank 40 verschlusselt 
gespeichert. Andererseits lassen sich die Dienst-Nutzerdaten 
48 auch verschlusselt aus der Datenbank 40 lesen, verschliis- 
10 selt uber die Verbindung 42 bzw. 44 zu einem Diensterbrin- 
gungsrechner 22 bzw. 24 ubertragen und dort mit Hilfe eines 
Partnerschlussels S2-D bzw. S3-D entschlusseln. 



Figur 2 zeigt Verf ahrensschritte zur Erbringung des Dienstes 

15 "Buchkauf" durch den Diensterbringungsrechner 22. Will der 
Dienstnutzer A ein Buch kaufen, so baut er eine Verbindung 
zwischen seinem Dienstnutzungsrechner 18 und dem Zentralrech- 
ner 12 auf , genauer gesagt mit der Zugangseinheit 36 des 
Zentralrechners 12. Zwischen Dienstnutzungsrechner 18 und 

20 Zugangseinheit 36 wird ein Authentisierungsverf ahren 60 aus- 
gefuhrt, bei dem ein Nutzerkennzeichen des Dienstnutzers A 
durch die Zugangseinheit 36 erfragt wird. An Hand des Nutzer- 
kennzeichens wird ein offentlicher Schlussel S4-E ermittelt, 
welcher der Partnerschlussel zu dem in der Smartkarte 20 

25 gespeicherten Schlussel S4-D des Dienstnutzers A ist. Unter 
Verwendung des offentlichen Schlussels Sl-E des Zentralrech- 
ners 12 werden die vom Dienstnutzungsrechner 18 kommenden 
Daten verschlusselt. Die Zugangseinheit 36 entschlusselt 
diese Daten mit Hilfe des privaten Schlussels Sl-D. Die von 

30 der Zugangseinheit 36 zum Dienstnutzungsrechner 18 zu uber- 
tragenden Daten werden andererseits in der Zugangseinheit 3 6 
mit Hilfe des offentlichen Schlussels S4-E verschlusselt und 
anschlieliend uber das Internet 14 zum Dienstnutzungsrechner 
18 ubertragen. Im Dienstnutzungsrechner 18 wird zum Ent- 

35 schlUsseln der von der Zugangseinheit 36 kommenden Daten ein 
privater Schlussel S4-D benutzt, der in der Smartkarte 20 
gesichert gespeichert ist. Vor der Benutzung des offentlichen 
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Schlussels S4-E pruft die Zugangseinheit 36, ob dieser 
Schliissel noch giiltig ist. 

Anschlieliend fordert die Zugangseinheit 36 ein Dienstnutzer- 
5 profil NP-A des Dienstnutzers A von der Datenbank 40 an, 
siehe Pfeil 62. An Hand der im Dienstnutzerprof il NP-A ge- 
speicherten Daten erstellt die Zugangseinheit 36 dem Dienst- 
nutzer A eine Auswahlliste mit Adressen von Diensterbrin- 
gungsrechnern, die er haufig anwahlt. In dieser Liste ist 
10 auch die Internetadresse des Diensterbringungsrechners 22 
vermerkt . 



Der Dienstnutzer A wahlt aus der Liste einen Diensterbrin- 
gungsrechner aus, beispielsweise den Diensterbringungsrechner 

15 22, siehe Pfeil 64. In einem nachsten Verf ahrensschritt 66 
wird zwischen dem Dienstnutzungsrechner 18 und dem 
Diensterbringungsrechner 22 ein gesicherter Obertragungskanal 
aufgebaut. Der Diensterbringungsrechner 22 ubermittelt an den 
Dienstnutzungsrechner 18 seinen offentlichen Schliissel S2-E 

20 und ein Zertifikat ZB zu seinem offentlichen. Schliissel S2-E. 
Im Dienstnutzungsrechner 18 wird das Zertifikat zu dem of- 
fentlichen Schliissel S2-E uberpruft. Es sei angenommen, dass 
das Zertifikat ZB echt ist. 



25 Der Dienstnutzer A verschlusselt die von ihm zu sendenden 
Daten mit Hilfe des offentlichen Schlussels S2-E. Aufterdem 
ubermittelt der Dienstnutzungsrechner 18 seinen offentlichen 
Schliissel S4-E und einen Verweis auf ein Zertifikat zu seinem 
offentlichen Schliissel S4-E, beispielsweise einen Verweis auf 

30 das PKI-Zentrum 28 oder einen Verweis auf den Zentralrechner 
12. Der Diensterbringungsrechner 22 uberpruft das Zertifikat 
unter Verwendung mindestens eines offentlichen Schlussels, 
dem er vertraut. Das Zertifikat sei echt. Vom Diensterbrin- 
gungsrechner 22 kommende Daten werden deshalb mit Hilfe des 

35 offentlichen Schlussels S4-E verschlusselt. 
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Um sogenannte Replay-Angrif f e und sogenannte Man-in-the- 
Middle-Angrif f e auszuschlieften, wird beim Aufbau des gesi- 
cherten Obertragungskanals 66 auch ein sogenanntes Challenge- 
Response -Verfahren eingesetzt, bei dem Zuf allszahlen zwischen 
5 dem Dienstnutzungsrechner 18 und dem Diensterbringungsrechner 
22 ausgetauscht werden, die sich bei jedem Verbindungsauf bau 
andern. 

Der Dienstnutzer A wahlt uber den gesicherten Ubertragungska- 
10 nal ein Buch aus und bekundet durch Betatigen einer Schalt- 
flache sein Kauf interesse . Danach wird zwischen dem 
Diensterbringungsrechner 22 und dem Zentralrechner 12 eine 
Verbindung aufgebaut, genauer gesagt zwischen dem 
Diensterbringungsrechner 22 und der Zugangseinheit 36 des 
15 Zentralrechners 12. 

In einem Verf ahrensschritt 68 wird die Berechtigung des 
Diensterbringungsrechners 22 gepruft. Fur diese Prufung uber- 
mittelt der Diensterbringungsrechner 22 ein Zertifikat ZB zu 
20 seinem offentlichen Schlussel S2-E an die Zugangseinheit 36. 
Die Zugangseinheit 36 uberpruft dieses Zertifikat ZB. 

Die vom Diensterbringungsrechner 22 kommenden Daten sind mit 
Hilfe des offentlichen Schlussels Sl-E des Zentralrechners 12 
25 verschlusselt . Der Zentralrechner 12 kann diese Daten unter 
Verwendung seines privaten Schlussels Sl-D entschlusseln. 

Auch der Zentralrechner 12 sendet ein Zertifikat zu seinem 
offentlichen Schlussel Sl-E an den Diensterbringungsrechner 
30 22. Vor der Verwendung des Schlussels Sl-E pruft der 

Diensterbringungsrechner 22 das Zertifikat zu dem offentli- 
chen Schlussel Sl-E. 

Der Diensterbringungsrechner 22 fordert nun Kundendaten KD-A 
35 des Dienstnutzers A vom Zentralrechner 12 an. In einem Ver- 
f ahrensschritt 70 werden die Kundendaten KD-A aus der Daten- 
bank 40 ausgelesen und an den Diensterbringungsrechner 22 
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ubertragen. Die Kundendaten KD-A sind dabei mindestens einmal 
verschlusselt, und zwar mit dem offentlichen Schlussel S2-D. 



Aufgrund der Kundendaten KD-A erstellt der Diensterbringungs- 
5 rechner 22 automat isch einen Kaufvertrag. Die Vertragsdaten 
werden vom Dienstnutzungsrechner 18 nach der Eingabe einer 
PIN (Personal Identity Number), einer TAN (Transaction Num- 
ber) oder eines biometrischen Merkmals unter Verwendung des 
privaten Schlussels S4-D unterzeichnet . Auch der 
10 Diensterbringungsrechner 22 des Diensterbringers B unter- 
zeichnet die Vertragsdaten mit seinem privaten Schlussel S2- 
D. Die unterzeichneten Daten werden zwischen dem Dienstnut- 
zungsrechner 18 und dem Diensterbringungsrechner 22 Ober den 
gesicherten Obertragungskanal ausgetauscht . 

15 

Im Diensterbringungsrechner 22 wird die Unterschrift des 
Dienstnutzungsrechners 18 gepriift. Dazu lasst sich der 6f- 
fentliche Schlussel S4-E nutzen. Es sei angenommen, dass die 
Unterschrift echt ist . Der Dienstnutzungsrechner 18 pruft die 
20 Unterschrift des Diensterbringungsrechners 22 unter Verwen- 
dung des offentlichen Schlussels S2-E. 

In einem Verf ahrensschritt 74 stellt der Diensterbringungs- 
rechner 22 eine Anfrage zur Zahlungsabwicklung mit dem 
25 Dienstnutzer A und gibt dabei den Betrag an, fur den der 

Dienstnutzer A bei ihm Biicher gekauft hat, beispielsweise DM 
300. Die Anfrage und der Betrag werden mit Hilfe des privaten 
Schlussels S2-D einer Unterschrift SignB unterschrieben . 



30 Die Prufeinheit 38 uberpriift die Unterschrift SignB mit Hilfe 
des offentlichen Schlussels S2-E. Es sei angenommen, dass die 
Unterschrift echt ist. Die Prufeinheit 38 pruft mit Hilfe 
eines unten an Hand der Figur 3 naher erlauterten Verfahrens, 
ob ein Kreditinstitut eine Deckungszusage ubernimmt, ob der 

35 Betrag im Rahmen einer Kreditvereinbarung mit einem Kreditin- 
stitut liegt oder ob der Dienstnutzer A seine Erlaubnis zur 
sofortigen Abbuchung von seinem Konto gegeben hat. Es sei 
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angenommen, dass eine Erlaubnis zur sofortigen Abbuchung 
vorliegt. Deshalb beschafft die Prtif ungseinheit 38 nun nach 
einem unten an Hand der Figur 4 erlauterten Verfahren ein 
Zahlungsattribut. Die Prufeinheit 38 bucht dann den Betrag 
5 von DM 300 vom Konto des Dienstnut zers A ab und uberweist den 
Betrag auf ein Treuhandkonto, um ihn spater an den Betreiber 
des Diensterbringungsrechners B zu uberweisen. 

In einem Verf ahrensschritt 76 wird zum Diensterbringungsrech- 
10 ner 22 ein Zahlungsattribut ubertragen, in dem bestatigt 

wird, dass der Dienstnutzer A den Betrag von DM 300 bezahlt 
bzw. bezahlt hat. Das Zahlungsattribut wird mit Hilfe des 
privaten Schlussels Sl-D des Zentralrechners 12 unterschrie- 
ben und zum Diensterbringungsrechner 22 ubermittelt, gegebe- 
15 nenfalls auch in verschliisselter Form. 

In einem Verf ahrensschritt 78 bestatigt der Diensterbrin- 
gungsrechner 22 dem Dienstnutzungsrechner 18, dass der Auf- 
trag angenommen und die Auslieferung der Bucher veranlasst 
20 worden ist. Zur Ubertragung der Auf tragungsbestatigung wird 
der gesicherte Obertragungskanal zwischen dem Diensterbrin- 
gungsrechner 22 und dem Dienstnutzungsrechner 18 genutzt. 

In einem Verf ahrensschritt 80 archiviert der Diensterbrin- 
25 gungsrechner 22 die den Kaufvertrag betreffenden Daten in der 
Datenbank 40, gegebenenf alls verschlusselt . 

Nachfolgende weitere Verf ahrensschritte 82 sind durch Punkte 
angedeutet. Der Diensterbringungsrechner 22 veranlasst iiber 

30 ein Logist iksystem die Auslieferung des Buches an den Dienst- 
nutzer A. Bei der Ubergabe des Buches bestatigt der Dienst- 
nutzer A den Erhalt. Die Bestatigung wird beispielsweise iiber 
das Mobilfunknetz 16 mit Hilfe einer SMS-Nachricht (Short 
Message Service) an den Zentralrechner 12 ubertragen und dort 

35 fur spatere Nachweiszwecke gespeichert. Gleichzeitig wird die 
Oberweisung des Betrages von DM 300 von dem Treuhandkonto auf 
ein Konto des Diensterbringers B uberwiesen. 
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Figur 3 zeigt die Bearbeitung der Zahlungsf ahigkeitsanf rage. 
Die Zahlungsf ahigkeitsanf rage wird von der Prufeinheit 38 an 
einen Bankrechner 100 gestellt, der einem Kreditinstitut Oder 
5 einer Bank gehort. Die Zahlungsf ahigkeitsanf rage wird durch 
einen Pfeil 102 dargestellt und enthalt Angaben zum Dienst- 
nutzer A sowie Angaben zum Betrag. Der Bankrechner 100 uber- 
pruft, ob eine Deckungszusage erteilt werden kann. Im Ausfuh- 
rungsbeispiel ist dies der Fall und mit Hilfe einer Auskunft 
10 104 teilt der Bankrechner 100 der Prufeinheit 38 mit, dass 
der Dienstnutzer A die Erlaubnis erteilt hat, von seinem 
Konto sofort abzubuchen. Bei einem anderen Ausf uhrungsbei- 
spiel teilt der Bankrechner 100 beispielsweise mit, dass der 
Dienstnutzer einen Kreditrahmen von zehn tausend D-Mark hat. 

15 

Fur die Obertragung der Zahlungsf ahigkeitsanf rage 102 und die 
Obertragung der Auskunft 104 lassen sich ebenfalls digitale 
Schlussel einer Inf rastruktur und zugehorige Zertifikate 
nutzen, urn einem Missbrauch vorzubeugen. Bei einem Ausfiih- 
20 rungsbeispiel werden die zwischen der Prufeinheit 38 und dem 
Bankrechner 100 ausgetauschten Daten nach einem digitalen 
Verschlusselungsverf ahren verschlusselt . 

Die Auskunft 104 des Bankrechners 100 wird in dem Dienstnut- 
25 zerprofil 46 gespeichert. Die Auskunft ist vertraulich und 
wird dem Diensterbringungsrechner 22 nicht zur Verfiigung 
gestellt . 

Figur 4 zeigt die Bearbeitung einer Zahlungsattributanf rage 
30 122, die nach dem Erhalt der Auskunft 104 von der Prufeinheit 
38 an einen Zahlungsattribut-Server 120 gerichtet wird, der 
auch als TrustedA-Rechner bezeichnet wird. Beispielsweise 
wird ein TrustedA-Rechner der Firma SSE eingesetzt, siehe 
www. sse . ie . 

35 



Die Zahlungsattributanf rage 122 enthalt u.a. die folgenden 
Daten: 
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- den Betrag von DM 300, 

- den Namen der Prufeinheit 38, die das Zahlungsattribut 
beantragt , und 

- den Namen des Diensterbringungsrechners 22, fur den das 
5 Zahlungsattribut bestimmt ist. 

Der Zahlungsattribut -Server 120 stellt ein Zahlungsattribut 
124 aus, mit dem folgende Daten zertif iziert , d.h. mit einer 
digitalen Unterschrift SignAS des Attribut-Servers versehen, 
werden : 

- der Betrag von DM 300, 

- den Namen der Prufeinheit 38, die das Zahlungsattribut 124 
beantragt , 

- den Namen des Diensterbringungsrechners 22, fur den das 
Zahlungsattribut 124 bestimmt ist, und 

- ein Ablauf datum. 

Das Zahlungsattribut wird in einem Verf ahrensschritt 124 vom 
Attribut-Server 120 zur Prufeinheit 38 ubermittelt. Die Pruf- 
20 einheit pruft die Angaben und die Unterschrift SignAS mit 

Hilfe mindestens eines offentlichen Schlussels, der als ver- 
trauensvoll eingestuft ist. 

Auch der Diensterbringungsrechner 22 pruft bei einem Ausfiih- 
25 rungsbeispiel die Echtheit des Zahlungsattributes 124. Der 
Kauf wird nur bestatigt, wenn das Zahlungsattribut echt ist. 

Die an Hand der Figuren 1 bis 34 erlauterten Einheiten lassen 
sich mit Hilfe von Programmen realisieren. Eingesetzt werden 
30 aber auch Schaltungseinheiten ohne einen Prozessor. Die Funk- 
tionen des Zentralrechners 12 lassen sich auch auf mehrere 
Rechner aufteilen, die an verschiedenen Stellen des Daten- 
ubertragungsnetzes 10 liegen. 

35 Bei einem anderen Ausf uhrungsbeispiel werden unterschiedliche 
Schlussel zum Verschlusseln der Daten zwischen dem Zentral- 
rechner 12 und dem Diensterbringungsrechner einerseits und 
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zum Verschlusseln der in der Datenbank 4 0 zu speichernden 
Dienst-Dienstnutzerdaten 48 verwendet . Durch eine Doppelver- 
schliisselung der Ubertragung auf den Verbindungen 42 und 44 
lasst sich die Sicherheit weiter erhohen. 

5 

Durch den Betreiber des Zentralrechners 12 werden die 
Diensterbringer vor der Erteilung einer Zugangsberechtigung 
auf ihre Vertrauenswurdigkeit hin uberpruft. Auch neue 
Dienstnutzer werden auf ihre Vertrauenswurdigkeit hin uber- 
10 priift. Durch diese Vorgehensweise lasst sich die Akzeptanz 

der erlauterten Verfahren sowohl auf der Seite der Diensterb- 
ringer als auch auf der Seite der Dienstnutzer weiter erho- 
hen . 

15 Bei einem weiteren Ausf uhrungsbeispiel werden die Funktionen 
des TrustedA-Rechners 120 durch den Zentralrechner 12 er- 
bracht . Wird der Zentralrechner 12 bei einem nachsten Ausf uh- 
rungsbeispiel von einer Bank betrieben, so lassen sich auch 
die Funktionen des Bankrechners 100 durch den Zentralrechner 

20 12 erbringen. 

Die Funktionen des Zentralrechners 12 werden bei einem ande- 
ren Ausfuhrungsbeispielen von mehreren Rechnern erbracht, die 
uber das Internet 14 oder iiber Standleitungen miteinander 
25 verbunden werden. 
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Patentanspriiche 

1. Verfahren zum Erbringen von Diensten in einem Datenuber- 
tragungsnetz (10) , 

5 

bei dem eine Zugangsf unktion (36) fur rnehrere Dienstnutzungs- 
rechner (18) abhangig von Anf orderungen von der Seite eines 
Dienstnutzungsrechners (18) eine Verbindung zwischen dem 
Dienstnutzungsrechner (18) und einem von mehreren durch einen 
10 Dienstnutzer (A) auswahlbaren Diensterbringungsrechner (22 
bis 26) ermoglicht, 

bei dem in einer zentralen Datenbank (40) fur die verschiede- 
nen Dienstnutzer (A) zu sichernde Nutzerdaten (46) gespei- 
15 chert werden, die zur Erbringung der Dienste verschiedener 
Diensterbringungsrechner (22 bis 26) erforderlich sind, 

bei dem nach der Verbindungsauf nahme zwischen einem Dienst- 
nutzungsrechner (18) und einem ausgewahlten Diensterbrin- 

20 gungsrechner (22) im Rahmen der Diensterbringung fur den den 
Dienstnutzungsrechner (18) nutzenden Dienstnutzer (A) an eine 
von mehreren Diensterbringungsrechner (22 bis 26) genutzte 
Priifeinheit (38) eine Anforderung gestellt wird, die nur 
unter Verwendung der zu sichernden Nutzerdaten (46) des 

25 Dienstnutzers (A) bearbeitet werden kann, 

bei dem die Priifeinheit (38) die Anforderung (74) unter 
Zugriff auf die zu sichernden Nutzerdaten (46) des Dienstnut- 
zers (A) bearbeitet und das Bearbeitungsergebnis (76) an den 
30 die Anforderung (74) stellenden Diensterbringungsrechner (22) 
ubermittelt, 

und bei dem der Diensterbringungsrechner (22) seinen Dienst 
abhangig vom Bearbeitungsergebnis (76) erbringt . 

35 
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2. Verfahren nach Anspruch 1, dadurch gekenn- 
zeichnet , dass die Diensterbringungsrechner (22 bis 26) 
verschiedenen Betreibern gehoren, 

5 dass nach der Anwahl eines Diensterbringungsrechners dessen 
Berechtigung zum Stellen einer Anforderung mit Hilfe eines 
Berechtigungsprufverf ahrens (68, 74) gepruft wird, 

und dass bei bestehender Berechtigung das "Bearbeitungsergeb- 
10 nis (76) und bei fehlender Berechtigung kein Bearbeitungser- 
gebnis (76) ubermittelt wird. 

3 . Verfahren nach Anspruch 1 oder 2, dadurch g e - 
kennzeichnet , dass die zu sichernden Nutzerdaten 

15 (46) verschlusselt gespeichert werden, 

und dass die Diensterbringungsrechner (22 bis 24) keinen 
Zugang zu einem zum Entschliisseln der zu sichernden Nutzerda- 
ten (46) erf orderlichen digitalen Schliissel (Sl-D) haben. 

20 

4. Verfahren zum Erbringen von Diensten in einem Datenliber- 
tragungsnetz (10) , insbesondere nach einem der vorhergehenden 
Anspriiche, dadurch gekennzeichnet, dass in 
einer Datenbank (40) Dienst-Nutzerdaten (48) gespeichert 

25 sind, die dienstbezogene Daten fur die Dienstnutzer (A) ein- 
zelner Diensterbringungsrechner (22 bis 26) enthalten, 

dass nach der Auswahl eines Diensterbringungsrechners (22 bis 
26) dessen Berechtigung zum Empfangen von Dienst-Nutzerdaten 
30 (48) betreffend den durch ihn erbrachten Dienst gepruft wird, 

dass an den ausgewahlten Diensterbringungsrechner (22) bei 
bestehender Berechtigung die Dienst-Nutzerdaten (48) desjeni- 
gen Dienstnutzers (A) ubermittelt werden, der den ausgewahl- 
35 ten Diensterbringungsrechner (22) ausgewahlt hat, 



WO 02/095637 



PCT/DE02/01646 



22 

und dass der Diensterbringungsrechner (22) seinen Dienst 
unter Verwendung der ubermittelten Dienst-Nutzerdaten (48) 
erbringt . 

5 5 . Verf ahren nach Anspruch 4 , dadurch gekenn- 

zeichnet , dass die Dienst-Nutzerdaten (48) verschliis- 
selt gespeichert und ubertragen werden, 

und dass verschiedene Diensterbringungsrechner (22, 24) ver- 
10 schiedene digitale Schlussel (S2-D, S3-D) zum Entschlusseln 
der Dienst-Nutzerdaten (4 8) verwenden. 



6. Verf ahren nach Anspruch 4 oder 5, dadurch ge - 
kennzeichnet , dass die Dienst-Nutzerdaten (4 8) mit 
15 einem zentralen Verschlusselungsverf ahren verschlusselt sind, 

und dass zum Verschliasseln gemali zentralem Verschlusselungs- 
verfahren ein fur die Dienst-Dienstnutzerdaten verschiedener 
Diensterbringungsrechner (22 bi 26) gleicher digitaler 
20 Schlussel verwendet wird. 



7. Verf ahren nach einem der Anspruche 4 bis 6, dadurch 
gekennzeichnet , dass in einer von mehreren 
Diensterbringungsrechnern (22 bis 26) genutzten Datenbank 

25 (40) digitale Daten uber Zahlungsvorgange fur verschiedene 

Diensterbringungsrechner (22 bis 26) gespeichert werden (80) . 

8. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, dass die Berechtigung des 

30 Dienstnutzers (A) unter Verwendung eines Berechtigungspruf - 
verfahrens (60) gepruft wird, 



und dass die Auswahl nur beim Vorliegen einer Berechtigung 
zugelassen wird. 

35 

9. Verfahren nach einem der vorhergehenden Anspruche, da- 
durch gekennzeichnet, dass die Berechtigungs- 
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prtifung unter Verwendung von digitalen Schliisseln durchge- 
fuhrt wird, die von mindestens einer Zertif izierungsstelle 
(28) erzeugt worden sind, 

5 und dass die Zertif izierungsstelle (28) Teil einer Zertifi- 
zierungs-Inf rastruktur ist. 

10. Verfahren nach Anspruch 9, dadurch g e k e n n - 
zeichnet, dass ein geheimzuhaltender digitaler Schlus- 

10 sel (S4-D) flir das Verschltisseln eingesetzt wird, 

und dass der geheimzuhaltende digitale Schlussel (S4-D) in 
einer elektronisch gesicherten Speichereinheit (20) gespei- 
chert ist. 

15 

11. Verfahren nach Anspruch 10, dadurch gekenn- 
zeichnet , dass die gesicherte Speichereinheit (20) 
Bestandteil einer Chipkarte (20) mit einem Prozessor ist, 

20 und dass auf die gesicherte Speichereinheit (20) nach einer 
Berechtigungspruf ung nur mit dem Prozessor zugegriffen werden 
kann . 

12. Verfahren nach einem der vorhergehenden Anspriiche, d a - 
25 durch gekennzeichnet, dass die Anforderung (74) 

die Absicherung einer Zahlung betrifft. 

13. Verfahren nach Anspruch 12, dadurch gekenn- 
zeichnet , dass die Prufeinheit (38) zur Bearbeitung der 

30 Anforderung eine Anfrage (102) zum Erhalt eines Zahlungszer- 
tifikats (104) an einen Zertif izierungsrechner (120) stellt, 

und dass der Zertif izierungsrechner (120) ein digitales Zah- 
lungszertif ikat (124) erzeugt, das die Zahlung absichert, 

35 

und dass das Zahlungszertif ikat uber die Prufeinheit (38) zum 
Diensterbringungsrechner (22) weitergeleitet wird. 
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14 . Verfahren nach Anspruch 12, dadurch gekenn- 
zeichnet, dass die Prufeinheit (38) bei der Bearbeitung 
der Anforderung (74) ein Zahlungszertif ikat erzeugt, das die 
5 Zahlung absichert, 

und dass das Zahlungszertif ikat an den Diensterbringungsrech- 
ner (22) weitergeleitet wird. 

10 15. Verfahren nach Anspruch 13 oder 14, dadurch ge • 
kennzeichnet, dass das Zahlungszertif ikat (124) mit 
Hilfe eines digitalen Schlussels erzeugt wird. 

16. Verfahren nach einem der vorhergehenden Anspruche, d a - 
15 durch gekennzeichnet, dass die Diensterbrin- 

gungsrechner (22 bis 26) die Funktion elektronischer Kauf- 
plattformen fur verschiedene Produkte oder Produktgruppen 
erbringen und/oder elektronischer Dienstleistungsplattformen 
fur verschiedene Dienstleistungen oder Dienstleistungsgrup- 
20 pen. 

17. Programm mit einer Bef ehlsf olge, bei deren Ausfuhrung 
durch einen Prozessor die Verf ahrensschritte nach einem der 
vorhergehenden Anspruche ausgefuhrt werden. 

25 

18. Datenverarbeitungsanlage (12) f gekennzeichnet 
durch ein Programm nach Anspruch 17. 
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